Rilasciato dalla Commissione Ue il nuovo framework con una serie di norme e procedure su come certificare la cybersicurezza dei prodotti ICT nel loro ciclo di vita.
Dai router ai chip, dalle smart card fino alle app per gestire l’identità digitale con il bollino di cybersicurezza della Commissione Europea. Si avvicina questo scenario, come già siamo abituati a vedere prodotti con il marchio CE, grazie al lancio della Commissione UE del primo sistema di certificazione della sicurezza informatica. Il nuovo framework, offre una serie di norme e procedure su come certificare la cybersicurezza dei prodotti ICT nel loro ciclo di vita, hardware e software. Questo schema di certificazioni cyber sarà pubblicato a breve nella Gazzetta ufficiale dell’Unione europea ed entrerà in vigore 20 giorni dopo la pubblicazione.
Il Regolamento di attuazione sull’adozione di un sistema europeo di certificazione della sicurezza informatica basato su criteri comuni è stato adottato in toto su progetti preparati dall’ENISA in stretta collaborazione con esperti del settore e gli Stati membri, dopo discussioni tecniche e giuridiche, nonché consultazioni pubbliche.
Nonostante le certificazioni cyber siano volontarie, sarà fondamentale diffondere nei consumatori la cultura di acquistare i prodotti ICT con la “EU Cybersecurity Certification”. Perché device, software e servizi con certificazioni cyber sono meno vulnerabili a minacce informatiche e quindi più sicuri rispetto a chi è privo di bollini.
Ma chi rilascerà la certificazione cyber?
Il Regolamento in Gazzetta ufficiale dell’UE andrà a specificare i ruoli, le regole e gli obblighi, nonché la struttura del sistema di certificazione della sicurezza informatica basato su criteri comuni europei in conformità con il quadro europeo di certificazione della sicurezza informatica stabilito nel regolamento (UE) 2019/881.
Lo schema si basa sul collaudato quadro di valutazione dei criteri comuni SOG-IS già utilizzato in 17 Stati membri dell’UE. Propone due livelli di garanzia basati sul livello di rischio associato all’uso previsto del prodotto, del servizio o del processo, in termini di probabilità e impatto di un incidente.
Il gruppo europeo di certificazione della sicurezza informatica svolgerà un ruolo importante nel mantenimento dello schema. Essa dovrebbe, tra l’altro, essere effettuata attraverso la cooperazione con il settore privato, la creazione di sottogruppi specializzati e i pertinenti lavori preparatori e l’assistenza richiesti dalla Commissione.